Skip to content
Confir.
Prueba gratuita
Blog

Los chatbots de atención al cliente y la Ley de IA de la UE: qué tienes que hacer realmente

Guide1 April 2026· 14 min de lectura

La mayoría de los chatbots de atención al cliente son de riesgo limitado con arreglo a la Ley de IA de la UE. Tu deber principal es la divulgación de IA del artículo 50, apartado 1, aplicable desde el 2 de agosto de 2026.

Un chatbot de atención al cliente es, en la mayoría de los casos, un sistema de IA de riesgo limitado con arreglo al Reglamento (UE) 2024/1689. Su obligación principal es la transparencia: con arreglo al artículo 50, apartado 1, el proveedor debe garantizar que los usuarios sepan que están interactuando con un sistema de IA, salvo que esto sea evidente para una persona razonablemente bien informada. No hay evaluación de la conformidad, ni expediente de documentación técnica del Anexo IV, ni marcado CE para un bot de soporte estándar. Estos deberes de transparencia de riesgo limitado se aplican desde el 2 de agosto de 2026.

Esa es la respuesta breve. La respuesta larga depende de lo que el chatbot hace realmente, y un chatbot que empieza a tomar o a influir en decisiones trascendentes sobre personas puede adentrarse en territorio de alto riesgo por completo en virtud de su función, no de su forma.

¿Es un chatbot de atención al cliente de alto riesgo con arreglo a la Ley de IA de la UE?

No, no por defecto. La Ley de IA de la UE clasifica los sistemas de IA por lo que hacen y por el contexto en el que lo hacen, no por la pila tecnológica. Un bot que gestiona preguntas frecuentes, encamina tickets y ayuda a los usuarios a restablecer contraseñas es un sistema de riesgo limitado con arreglo al artículo 50. No figura en la lista de casos de uso de alto riesgo del Anexo III, de modo que el conjunto completo de obligaciones de alto riesgo —el sistema de gestión de riesgos (artículo 9), la documentación técnica (artículo 11), los requisitos de supervisión humana (artículo 14) y la evaluación de la conformidad del artículo 43— no se aplica.

La clasificación sigue el artículo 6, apartado 3: incluso un sistema que se sitúa dentro de una categoría del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales. Una tarea procedimental limitada —responder preguntas, escalar tickets, mostrar artículos de ayuda— suele superar ese filtro.

Pero la clasificación es siempre un análisis que empieza por la función. La pregunta no es «¿es esto un chatbot?», sino «¿qué decide o en qué influye este chatbot?». Si la respuesta se extiende a ámbitos enumerados en el Anexo III, el sistema debe reevaluarse. Para un recorrido más detallado de cómo clasificar un chatbot frente a los niveles de riesgo, consulta nuestra guía sobre la clasificación de chatbots en la Ley de IA.

Tu obligación principal: la transparencia del artículo 50

El artículo 50, apartado 1, del Reglamento (UE) 2024/1689 exige que el proveedor de un chatbot —cualquier sistema de IA diseñado para interactuar con personas físicas— garantice que esas personas estén informadas de que están interactuando con un sistema de IA. La divulgación debe hacerse, a más tardar, al inicio de la interacción.

El reglamento establece una excepción sensata: la divulgación no es necesaria cuando resulta evidente para una persona física razonablemente bien informada, atenta y perspicaz que está interactuando con un sistema de IA. Un bot con un nombre como «AutoBot» que abre cada sesión con un saludo guionizado y no puede arrastrar el contexto entre sesiones podría caer dentro de esta excepción, pero si existe cualquier posibilidad realista de que un usuario crea que está hablando con un humano, la excepción no se aplica. En la práctica, el enfoque más seguro es divulgar.

Estas obligaciones se aplican desde el 2 de agosto de 2026. Esa fecha no fue tocada por el Ómnibus Digital (la propuesta de la Comisión de noviembre de 2025, acordada políticamente en mayo de 2026, que aplazó el plazo de alto riesgo del Anexo III al 2 de diciembre de 2027). La transparencia de riesgo limitado del artículo 50 se mantiene en su calendario original.

El incumplimiento del artículo 50 se sitúa en el nivel de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total (artículo 99, apartado 4), si esta última cifra es mayor. Para las empresas que cumplen los requisitos de pyme o empresa emergente, el artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija.

Para un análisis completo de las obligaciones del artículo 50, consulta Ley de IA de la UE, Artículo 50: transparencia y divulgación.

Cuándo un chatbot bascula hacia el alto riesgo

El valor por defecto de riesgo limitado solo se mantiene mientras el chatbot permanezca en un papel informativo o conversacional. Un chatbot que pasa de responder preguntas a configurar resultados trascendentes para las personas se adentra en un territorio distinto.

Considera algunos escenarios. Un chatbot que determina si un cliente cumple los requisitos para un producto financiero —o que influye materialmente en esa determinación— opera en el espacio de la solvencia y la calificación crediticia cubierto por el Anexo III, punto 5, letra b). Un chatbot que filtra qué candidatos a un empleo avanzan hacia un revisor humano, o que criba a los candidatos a partir de sus respuestas, toca el ámbito de empleo y gestión de los trabajadores del Anexo III, punto 4. Un chatbot que controla el acceso a servicios esenciales —triaje sanitario, admisibilidad a prestaciones públicas, encaminamiento de emergencias— se sitúa en el Anexo III, punto 5, de forma más amplia.

En cualquiera de estos casos, el sistema no es «un chatbot» a efectos de clasificación. Es un sistema de IA que desempeña una función de alto riesgo, y se aplica el marco completo del artículo 6 y del Anexo III: gestión de riesgos (artículo 9), gobernanza de datos (artículo 10), documentación técnica (artículo 11 y Anexo IV), conservación de registros (artículo 12), transparencia hacia los responsables del despliegue (artículo 13), supervisión humana (artículo 14), requisitos de exactitud y robustez (artículo 15) y evaluación de la conformidad (artículo 43) antes de que el sistema salga al mercado. El plazo aplicable a los sistemas autónomos del Anexo III con arreglo al acuerdo del Ómnibus Digital es el 2 de diciembre de 2027.

Merece la pena destacar un añadido: todo sistema de IA que elabore perfiles de personas físicas es siempre de alto riesgo con arreglo al artículo 6, apartado 3, con independencia de lo estrecha que parezca la tarea circundante. Un chatbot que construye o utiliza un perfil de comportamiento del usuario con el que habla no cumple los requisitos del valor por defecto de riesgo limitado.

Para una lista de comprobación estructurada de lo que activa el conjunto de alto riesgo, consulta ¿Es mi sistema de IA de alto riesgo? y Anexo III: la lista de casos de uso de alto riesgo.

Si funciona sobre un modelo fundacional

Muchos chatbots de atención al cliente se construyen sobre un modelo de IA de uso general (GPAI) —un modelo lingüístico de gran tamaño al que se accede a través de una API— o por medio de él. La Ley de IA de la UE aborda explícitamente esta arquitectura por capas.

El propio modelo de IA de uso general (GPAI) está sujeto al capítulo V del reglamento (artículos 51 a 55). Esas obligaciones —documentación técnica, información a los agentes intermedios, política de derechos de autor, resumen de los datos de entrenamiento— permanecen con el proveedor del modelo: la empresa que desarrolló y puso a disposición el modelo. Si el modelo se clasifica como de riesgo sistémico con arreglo al artículo 51 (en función del cómputo de entrenamiento o de la designación de la Comisión), el proveedor del modelo carga con las obligaciones adicionales del artículo 55: evaluaciones del modelo, prueba adversaria, notificación de incidentes y medidas de ciberseguridad.

Tu posición es distinta. Estás desplegando un sistema construido sobre ese modelo. Tus obligaciones se determinan por lo que hace tu sistema desplegado —su función, sus usuarios, sus efectos— con arreglo a los artículos 5, 6 y 50. Las obligaciones de IA de uso general (GPAI) en la capa del modelo no se transfieren a ti. Lo que sí se transfiere es la lógica del artículo 25: si modificas sustancialmente el modelo o pones tu nombre en un sistema de alto riesgo construido a partir de él, asumes las obligaciones del proveedor (artículo 16) para ese sistema.

Para la mayoría de los despliegues de chatbots de atención al cliente que utilizan una API de terceros, el análisis de clasificación es limpio: eres el proveedor (o el responsable del despliegue, según la estructura contractual) del sistema de chatbot, no del modelo de IA de uso general (GPAI) que hay debajo. Clasifica tu sistema por su función y aplica el nivel correspondiente en consecuencia.

Qué hacer

Los pasos prácticos para un chatbot de atención al cliente típico son cortos. Ninguno de ellos requiere meses de preparación.

Añade una divulgación de IA del artículo 50. La divulgación debe ser visible e inequívoca al inicio de la interacción. Una frase —«Estás chateando con un asistente automatizado, no con un agente humano»— satisface el requisito para la mayoría de los despliegues. Incorpora esto al flujo de tu chatbot antes del 2 de agosto de 2026.

Criba en busca de prohibiciones del artículo 5. Las prohibiciones del artículo 5 se aplican desde el 2 de febrero de 2025. Un chatbot de soporte no debe utilizar técnicas manipuladoras que exploten vulnerabilidades psicológicas, no debe engañar a los usuarios de modos que causen o sea probable que causen perjuicios, y no debe incurrir en una puntuación social prohibida. Revisa el diseño conversacional de tu bot frente a estas prohibiciones —no es un ejercicio teórico si tu bot está incentivado para hacer ventas adicionales o retener clientes bajo presión.

Forma a tu personal con arreglo al artículo 4. Las obligaciones de alfabetización en materia de IA del artículo 4 se aplican desde el 2 de febrero de 2025 y cubren a todas las organizaciones que utilizan IA, no solo a las que tienen sistemas de alto riesgo. El personal que configura, supervisa o toma decisiones junto al chatbot debe comprender cómo funciona, qué puede y qué no puede hacer y cuándo escalar a un humano.

Documenta tu clasificación. Incluso para un sistema de riesgo limitado, conservar un registro de tu análisis de clasificación —por qué concluiste que el sistema entra en el artículo 50 y no en el artículo 6— es una buena práctica. Demuestra la diligencia debida si un regulador o un auditor pregunta.

Reevalúa si el alcance cambia. Si el chatbot empieza a gestionar solicitudes de préstamo, a filtrar candidatos o a decidir el acceso a servicios, ejecuta la clasificación de nuevo. La conclusión de riesgo limitado está condicionada a que la función siga siendo conversacional.

Cómo ayuda Confir

Confir es una herramienta de cumplimiento de la Ley de IA de la UE basada en reglas para empresas que necesitan clasificar sistemas de IA, documentar esa clasificación y generar los materiales de cumplimiento de apoyo, sin contratar a un consultor ni dedicar meses a un marco.

Para un chatbot de atención al cliente, el flujo de trabajo es sencillo: introduce el sistema en el registro de Confir, responde a las preguntas de clasificación en lenguaje sencillo y la lógica determinista de Confir asigna las respuestas al nivel de riesgo y al rol correctos con arreglo al reglamento. Si el bot es de riesgo limitado, Confir saca a la luz las obligaciones de transparencia del artículo 50, señala el plazo del 2 de agosto de 2026 y respalda la documentación del estado de formación del personal del artículo 4. Si un futuro cambio de alcance bascula el sistema hacia un ámbito del Anexo III, la clasificación se actualiza y la lista de comprobación completa de alto riesgo queda disponible.

El motor de clasificación es basado en reglas y determinista: las mismas entradas producen el mismo resultado, la regla que se activó es legible por humanos y no hay ninguna inferencia que cuestionar. Eso importa para un artefacto de cumplimiento. Detalles en confir.eu.

Preguntas frecuentes

¿Todos los chatbots tienen que cumplir la Ley de IA de la UE?

Solo los chatbots que cumplen la definición de sistema de IA del artículo 3 del Reglamento (UE) 2024/1689 —un sistema basado en máquinas que infiere, a partir de las entradas, cómo generar resultados de salida como contenidos, predicciones o decisiones— entran en el ámbito. Un bot guionizado simple basado en reglas, sin componente de aprendizaje automático ni de inferencia, puede no cumplir los requisitos. La mayoría de los chatbots modernos construidos sobre modelos lingüísticos de gran tamaño o sobre modelos de clasificación de intenciones sí los cumplen. El deber de transparencia del artículo 50 para los chatbots incluidos en el ámbito se aplica desde el 2 de agosto de 2026.

¿Qué exige exactamente la divulgación del artículo 50, apartado 1?

El proveedor debe garantizar que las personas físicas que interactúan con el sistema de IA estén informadas de que lo hacen. La divulgación debe hacerse, a más tardar, al inicio de la interacción. No exige un formato concreto —una frase clara en la parte superior de la ventana de chat es suficiente para la mayoría de los despliegues. La excepción es cuando ya resulta evidente para una persona razonablemente bien informada que está hablando con un sistema de IA.

¿Podemos utilizar un banner de cookies o las condiciones de servicio para satisfacer el artículo 50?

No. El artículo 50, apartado 1, exige la divulgación en el momento de la interacción o antes de que comience, de un modo que sea claro para la persona que interactúa con el sistema. Una referencia enterrada en las condiciones de servicio o mostrada únicamente en una página de configuración separada no satisface el requisito de momento y claridad. La divulgación debe estar presente en la propia interfaz del chatbot.

Nuestro chatbot a veces escala a un agente humano a mitad de sesión. ¿Afecta eso a algo?

No directamente con arreglo al artículo 50, que rige la divulgación de la interacción con IA. Pero la transición de vuelta a la IA —si la sesión regresa al chatbot tras un paso humano— debe ser igual de clara. Más importante aún: si el chatbot decide qué usuarios escalan a un humano y cuáles no, y esa decisión de triaje tiene consecuencias relevantes (p. ej., para el acceso a un servicio), esa función debe evaluarse por separado frente al Anexo III. El triaje que determina el acceso a servicios esenciales puede ser de alto riesgo.

Desplegamos un chatbot de un proveedor SaaS. ¿Quién es el proveedor a efectos del artículo 50?

El proveedor con arreglo a la Ley de IA de la UE es la parte que introduce el sistema de IA en el mercado o lo pone en servicio con su propio nombre o marca (artículo 3, apartado 3). Si el proveedor aporta la tecnología subyacente y tú la comercializas con marca blanca o la personalizas para tus clientes, el análisis depende de quién presenta el sistema a los usuarios finales y bajo la autoridad de quién opera. Con arreglo al artículo 25, si modificas sustancialmente el sistema o lo despliegas como tu propio producto, asumes las obligaciones del proveedor. Si simplemente ejecutas el sistema del proveedor a través de su interfaz, puedes ser un responsable del despliegue, pero los responsables del despliegue siguen teniendo obligaciones con arreglo al artículo 26, incluido el seguimiento y la garantía de que el uso se ajusta a la finalidad prevista.

¿Qué pasa si incumplimos el plazo del 2 de agosto de 2026 del artículo 50?

Los incumplimientos del artículo 50 se sitúan en el nivel de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total con arreglo al artículo 99, apartado 4, si esta última cifra es mayor. Para las pymes y las empresas emergentes, la multa es el menor de los dos importes, el porcentaje o la cantidad fija (artículo 99, apartado 6). La competencia de ejecución recae en las autoridades nacionales de vigilancia del mercado de los Estados miembros donde se utiliza el sistema. ---

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.